クラウドワークロード保護プラットフォーム(CWPP)は、クラウドとオンプレミスのワークロードの脅威を軽減します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
クラウドワークロード保護プラットフォーム(CWPP)とは、クラウドソフトウェア内部の脅威を検出および除去するセキュリティツールのことです。CWPPは、自動車のエンジン内部の欠陥や故障を、それらがさらなる損傷を引き起こす前に特定する自動車整備士のようなものです。ただし、自動車ではなく、クラウドサービスの内部を検査します。CWPP は、オンプレミスの物理サーバー、仮想マシン、サーバーレス機能など、さまざまなワークロードを自動的に監視します。
コンピューティングにおいて、ワークロードとは、ある程度の量のメモリとコンピューティングパワーを使用するプログラムやアプリケーションのことを指します。クラウドコンピューティングでは、ワークロードはまさにそのようなものですが、クラウドプロバイダーによって遠隔地からホストされています。
かつては、すべてのワークロードは物理マシン上で動作していました。しかし、クラウドコンピューティングの時代には、ワークロードは多くの異なる抽象化レイヤーの上で実行されます。
「抽象化レイヤー」とは、高レベルの機能が低レベルの機能とやりとりするポイントのことで、高レベルの機能とやりとりする誰かまたは何かが、通常は低レベルの機能を意識しないように分離されています。例えば、ほとんどのユーザーはコンピュータのプログラミング方法を知りませんが、それでもコンピュータを使うことはできます。これは、関係するプログラミング言語がGUIやユーザーフレンドリーなアプリケーションを使うことで抽象化されているためです。
クラウドコンピューティングにおける抽象化レイヤーは、クラウドサーバーをより効率的に使用することを可能にしました。例えば、仮想マシンは、基盤となるサーバーのハードウェアを抽象化するものです。1台の物理サーバ上で複数の仮想マシンを動作させることがでるため、複数のクラウド利用者が同時にサーバを使用することが可能になります。
しかし、こうした複雑な抽象化レイヤーは、クラウドコンピューティング、特に使用されているさまざまなクラウドワークロードのセキュリティを確保する上で、複雑さを増すことにもなります。
種類: | サービスモデル: | 抽象化の場所 | ホスティング場所: | 環境: |
---|---|---|---|---|
サーバー | セルフホスト型 | 物理ハードウェア | オンプレミス | 自社ハードウェア |
仮想マシン | IaaS、PaaS、SaaS | ハイパーバイザー | クラウドまたはオンプレミス | 自社の仮想ハードウェア |
コンテナ | IaaS、PaaS | OSのカーネル | クラウド | 自社のOS |
サーバレス機能 | FaaS | プロバイダーによって異なる | クラウド | プロバイダにって異なる(CloudflareはChrome V8を使用 )。 |
これらの異なる場所でワークロードを実行する場合、使用されるリソース、場所、環境によって大きく異なります。これらを保護することは、オフィス、個人宅、駐車場のすべてを同時に保護しようとするようなものです。1つでこれら3つの状況すべてに対応するセキュリティアプローチはありません。例えば、駐車場にはゲートが必要になり、オフィスには警備員が必要になり、自宅には防犯ベルが必要になります。
同様に、これらの異なる種類のクラウドインフラストラクチャはすべて、抱えているセキュリティニーズが若干異なります。例えば、仮想マシンは物理マシンと同じように機能し、同時にいくつでもアプリケーションを実行することができます。仮想マシンでは、悪意のあるアプリケーションを正規のアプリケーションと同時に実行することが可能です。一方、コンテナでは1つのアプリケーションしか実行できないため、悪意のあるアプリケーションが実行されていないことを確認することよりも、そのアプリケーションが侵害されているかどうかを特定することの方が重要になります。
しかし、CWPP は、これらすべてのタイプのインフラストラクチャの脅威、特にマルウェア、脆弱性、および未承認のアプリケーションを検出し、除去するものです。
世界的なリサーチ&アドバイザリ企業であるガートナーによると、CWPPは以下の8つの機能で定義されています。
CWPPは、物理サーバー、仮想マシン、コンテナー、サーバーレス機能など、あらゆる種類のワークロードにこれらの機能を適用することができます。
CWPPはさまざまなワークロードに対応できるため、複数のクラウドに分散しているインフラストラクチャの保護に理想的です。複数のパブリッククラウドを組み合わせたマルチクラウドや、パブリッククラウドとプライベートクラウドやオンプレミスインフラを組み合わせたハイブリッドクラウドなどには、さまざまな種類のワークロードが含まれます。CWPPは、組織がこれらのワークロードにあるクラウドセキュリティのリスクの確認と分析を簡単に一か所で行える「シングルペイン(1 枚ガラス)」を提供します。
クラウドセキュリティ体制管理(CSPM)も、さまざまなクラウド上に展開されているサービスを保護するための自動化ツールの一種です。主な違いは、CSPMは外部で、クラウドの不適切な設定やコンプライアンス違反を探すのに対し、CWPPは内部で、クラウドで動作するソフトウェア内部の脅威を探すという点です。